E-Mail-Verschlüsselung
So verschicken Sie sensible Daten DSGVO-konform

In vielen Unternehmen werden täglich Hunderte E-Mails verschickt – nicht immer ist das datenschutzkonform. Wann E-Mail-Verschlüsselung zwingend notwendig ist und worauf Sie dabei achten müssen.

, von

Schlüssel drehen, Nachricht sicher - so einfach ist es mit der E-Mail-Verschlüsselung dann leider doch nicht.
Schlüssel drehen, Nachricht sicher - so einfach ist es mit der E-Mail-Verschlüsselung dann leider doch nicht.

Seit die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten ist, gilt es, besonders vorsichtig mit sensiblen Daten umzugehen. E-Mail-Kommunikation ist dabei keine Ausnahme.

Bestimmte E-Mails zu verschlüsseln, ist aber schon länger Pflicht: Schon das Bundesdatenschutzgesetz, der Vorgänger der DSGVO, verpflichtete Unternehmen dazu. Doch in Deutschland taten das 2016 laut einer Studie von „Deutschland sicher im Netz“ (DsiN) nur 16 Prozent der befragten Unternehmen. Nur: Wann ist es nötig, eine E-Mail zu verschlüsseln?

Wann müssen Sie E-Mails verschlüsseln?

Im Grunde ist es wie mit der Post: Eine Gehaltsabrechnung druckt man nicht auf eine Postkarte. Informationen, die andere nicht lesen sollen, würden Sie nur in einem Brief mit Umschlag verschicken – also quasi verschlüsselt.

Laut DSGVO müssen Mitarbeiter nicht jede E-Mail verschlüsseln, die sie während der Arbeitszeit verschicken. „Nur E-Mails mit besonders sensiblen Daten müssen verschlüsselt werden. Das gilt bei Personaldaten und Geschäftsgeheimnissen“, sagt Nabil Alsabah vom Digitalverband Bitkom. Dazu gehören laut Artikel 9, Absatz 1 DSGVO auch andere personenbezogene Daten, etwa:

  • die sexuelle Orientierung,
  • biometrische Daten,
  • ethnische Herkunft,
  • politische Meinung,
  • religiöse Überzeugungen
  • oder Informationen über die Gesundheit eines Mitarbeiters oder Kunden.

Geraten solche Mails unverschlüsselt in falsche Hände und werden sensible Daten veröffentlicht, richtet das nicht nur einen Imageschaden an – auch hohe Bußgelder drohen.

Müssen Mitarbeiter interne Mails verschlüsseln?

Alsabah: „Es kommt immer auf die IT-Infrastruktur eines Unternehmens an. Und die Sicherheitseinstellungen von Endgeräten spielen auch eine Rolle.“ Sind die PCs mit Anti-Viren-Schutz ausgestattet? Werden die E-Mails über eine sichere Verbindung geschickt?

Ist ein E-Mail-Postfach oder ein PC frei zugänglich und nicht passwortgeschützt, müssen Mitarbeiter außerdem besonders darauf achten, keine sensiblen Daten zu verschicken. Das gilt auch für automatisch verschickte Nachrichten wie Gehaltsabrechnungen. Sie sollten immer im Kopf behalten:

Zur Person
Nabil Alsabah ist Bereichsleiter für IT-Sicherheit und IT-Beauftragter beim Bundesverband für Informationswirtschaft, Telekommunikation und neue Medien (Bitkom).

Außenstehende, die an der E-Mail-Übermittlung beteiligt sind, können an interne Daten gelangen, wenn Sie diese nicht ausreichend schützen. Dazu gehört auch Ihr E-Mail-Provider.

Wie kann man E-Mails verschlüsseln?

Gängige E-Mail-Programme verfügen in der Regel über eine Funktion zum Verschlüsseln von E-Mails. Die verbreitetste Art, E-Mails zu verschlüsseln, ist die Inhaltsverschlüsselung. Dabei bleiben Absender, Empfänger und Betreff der Nachricht unverschlüsselt. Nur der Inhalt wird für Außenstehende unlesbar, indem sich ein normaler Text in eine nicht zusammenhängende Abfolge von Zeichen umwandelt. Nachdem die E-Mail angekommen ist, wird sie automatisch von dem Programm entschlüsselt und ist dann lesbar.

Achtung: Einmal entschlüsselt, archivieren Mail-Programme die Nachricht unverschlüsselt. Andere Nutzer mit Ihrem Passwort könnten dann darauf zugreifen. Alsabah warnt: „Nur weil Sie die E-Mails verschlüsseln, heißt das nicht, dass Fremde keinen Zugriff auf die E-Mails hätten, wenn sie zum Beispiel die Festplatte stehlen würden.“

So funktioniert’s:

Herr Müller erstellt mit seinem E-Mail-Programm einen Code, einen sogenannten „Schlüssel“, und teilt ihn mit allen Menschen, von denen er verschlüsselte E-Mails erwartet. Diesen Code muss er nicht geheim halten. Ein öffentlicher Schlüssel darf laut Alsabah sogar in Herr Müllers E-Mail-Signatur stehen, sodass ihm jeder verschlüsselte Nachrichten schicken kann.

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaft - Rückenwind für Unternehmerinnen und Unternehmer

Den zweiten, privaten Schlüssel erstellt das E-Mail-Programm von Herrn Müller automatisch. Nur sein Programm hat diesen Schlüssel, er wird nicht weitergegeben. Schreibt nun jemand eine E-Mail an Herrn Müller und verwendet dabei den öffentlichen Schlüssel, wird der Text unlesbar verschickt. Sobald die Nachricht bei Herrn Müller ankommt, entschlüsselt sein E-Mail-Programm sie mit dem privaten Schlüssel. „Die zugrunde liegenden mathematischen Verfahren garantieren, dass geschützte Nachrichten so nur mit dem privaten Schlüssel zu entziffern sind“, so Alsabah.

Wenn Sie eine verschlüsselte E-Mail versenden wollen, müssen Sie also den öffentlichen Schlüssel des Empfängers kennen.

Was taugen vorinstallierte Programme vom E-Mail-Anbieter?

Die gute Nachricht: Man muss kein teures Programm kaufen, um E-Mails sicher zu verschlüsseln. „Je nach Verschlüsselungsverfahren unterstützen E-Mail-Programme Verschlüsselungsfunktionen von vornherein oder nach Installation eines Plug-ins“, sagt Alsabah. Dabei kommt es nicht darauf an, welches Programm man verwendet. „Gängige Verschlüsselungsverfahren sind standardisiert. Das heißt, dass es bei unterschiedlichen Programmen keine qualitativen Unterschiede in der Verschlüsselung geben darf.“

Bei E-Mail Providern wie Outlook, GMX und Google Mail können Sie kostenlose Add-ons installieren, um öffentliche Schlüssel zu erstellen und verschlüsselte E-Mails zu empfangen.

Wirken Anti-Viren-Programme bei verschlüsselten E-Mails?

Ja. Da Ihr E-Mail-Programm die E-Mails automatisch entschlüsselt, überprüft ein Anti-Viren-Programm (sofern dieses existiert) anschließend die Nachricht auf ihre Sicherheit.

Was sollten Sie jetzt tun?

Zunächst sollten Sie sich mit Ihrem E-Mail-Anbieter auseinandersetzen und herausfinden, wie Sie damit Ihre Nachrichten verschlüsseln können – das kann natürlich auch der Datenschutzbeauftragte übernehmen. Legen Sie sich dann mithilfe Ihres E-Mail-Programms einen öffentlichen und einen privaten Schlüssel zu. Den öffentlichen Schlüssel teilen Sie mit Ihren Kontakten. Sie können auch die Datei mit dem öffentlichen Schlüssel in Ihrer Mail-Signatur verlinken.

Vergessen Sie nicht, Ihren Mitarbeitern genau zu erklären, welche E-Mails sie verschlüsselt verschicken müssen und wie das funktioniert.

In eigener Sache
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Online-Workshop für Unternehmer
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Im Online Workshop "Zukunft sichern: So entwickeln Sie Ihr Geschäftsmodell weiter" gehen Sie dieses Ziel an.
Seit die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten ist, gilt es, besonders vorsichtig mit sensiblen Daten umzugehen. E-Mail-Kommunikation ist dabei keine Ausnahme. Bestimmte E-Mails zu verschlüsseln, ist aber schon länger Pflicht: Schon das Bundesdatenschutzgesetz, der Vorgänger der DSGVO, verpflichtete Unternehmen dazu. Doch in Deutschland taten das 2016 laut einer Studie von „Deutschland sicher im Netz“ (DsiN) nur 16 Prozent der befragten Unternehmen. Nur: Wann ist es nötig, eine E-Mail zu verschlüsseln? Wann müssen Sie E-Mails verschlüsseln? Im Grunde ist es wie mit der Post: Eine Gehaltsabrechnung druckt man nicht auf eine Postkarte. Informationen, die andere nicht lesen sollen, würden Sie nur in einem Brief mit Umschlag verschicken - also quasi verschlüsselt. Laut DSGVO müssen Mitarbeiter nicht jede E-Mail verschlüsseln, die sie während der Arbeitszeit verschicken. „Nur E-Mails mit besonders sensiblen Daten müssen verschlüsselt werden. Das gilt bei Personaldaten und Geschäftsgeheimnissen“, sagt Nabil Alsabah vom Digitalverband Bitkom. Dazu gehören laut Artikel 9, Absatz 1 DSGVO auch andere personenbezogene Daten, etwa: die sexuelle Orientierung, biometrische Daten, ethnische Herkunft, politische Meinung, religiöse Überzeugungen oder Informationen über die Gesundheit eines Mitarbeiters oder Kunden. Geraten solche Mails unverschlüsselt in falsche Hände und werden sensible Daten veröffentlicht, richtet das nicht nur einen Imageschaden an - auch hohe Bußgelder drohen. Müssen Mitarbeiter interne Mails verschlüsseln? Alsabah: „Es kommt immer auf die IT-Infrastruktur eines Unternehmens an. Und die Sicherheitseinstellungen von Endgeräten spielen auch eine Rolle.“ Sind die PCs mit Anti-Viren-Schutz ausgestattet? Werden die E-Mails über eine sichere Verbindung geschickt? Ist ein E-Mail-Postfach oder ein PC frei zugänglich und nicht passwortgeschützt, müssen Mitarbeiter außerdem besonders darauf achten, keine sensiblen Daten zu verschicken. Das gilt auch für automatisch verschickte Nachrichten wie Gehaltsabrechnungen. Sie sollten immer im Kopf behalten: Außenstehende, die an der E-Mail-Übermittlung beteiligt sind, können an interne Daten gelangen, wenn Sie diese nicht ausreichend schützen. Dazu gehört auch Ihr E-Mail-Provider. Wie kann man E-Mails verschlüsseln? Gängige E-Mail-Programme verfügen in der Regel über eine Funktion zum Verschlüsseln von E-Mails. Die verbreitetste Art, E-Mails zu verschlüsseln, ist die Inhaltsverschlüsselung. Dabei bleiben Absender, Empfänger und Betreff der Nachricht unverschlüsselt. Nur der Inhalt wird für Außenstehende unlesbar, indem sich ein normaler Text in eine nicht zusammenhängende Abfolge von Zeichen umwandelt. Nachdem die E-Mail angekommen ist, wird sie automatisch von dem Programm entschlüsselt und ist dann lesbar. Achtung: Einmal entschlüsselt, archivieren Mail-Programme die Nachricht unverschlüsselt. Andere Nutzer mit Ihrem Passwort könnten dann darauf zugreifen. Alsabah warnt: „Nur weil Sie die E-Mails verschlüsseln, heißt das nicht, dass Fremde keinen Zugriff auf die E-Mails hätten, wenn sie zum Beispiel die Festplatte stehlen würden.“ So funktioniert’s: Herr Müller erstellt mit seinem E-Mail-Programm einen Code, einen sogenannten „Schlüssel“, und teilt ihn mit allen Menschen, von denen er verschlüsselte E-Mails erwartet. Diesen Code muss er nicht geheim halten. Ein öffentlicher Schlüssel darf laut Alsabah sogar in Herr Müllers E-Mail-Signatur stehen, sodass ihm jeder verschlüsselte Nachrichten schicken kann. Den zweiten, privaten Schlüssel erstellt das E-Mail-Programm von Herrn Müller automatisch. Nur sein Programm hat diesen Schlüssel, er wird nicht weitergegeben. Schreibt nun jemand eine E-Mail an Herrn Müller und verwendet dabei den öffentlichen Schlüssel, wird der Text unlesbar verschickt. Sobald die Nachricht bei Herrn Müller ankommt, entschlüsselt sein E-Mail-Programm sie mit dem privaten Schlüssel. „Die zugrunde liegenden mathematischen Verfahren garantieren, dass geschützte Nachrichten so nur mit dem privaten Schlüssel zu entziffern sind“, so Alsabah. Wenn Sie eine verschlüsselte E-Mail versenden wollen, müssen Sie also den öffentlichen Schlüssel des Empfängers kennen. Was taugen vorinstallierte Programme vom E-Mail-Anbieter? Die gute Nachricht: Man muss kein teures Programm kaufen, um E-Mails sicher zu verschlüsseln. „Je nach Verschlüsselungsverfahren unterstützen E-Mail-Programme Verschlüsselungsfunktionen von vornherein oder nach Installation eines Plug-ins“, sagt Alsabah. Dabei kommt es nicht darauf an, welches Programm man verwendet. „Gängige Verschlüsselungsverfahren sind standardisiert. Das heißt, dass es bei unterschiedlichen Programmen keine qualitativen Unterschiede in der Verschlüsselung geben darf.“ Bei E-Mail Providern wie Outlook, GMX und Google Mail können Sie kostenlose Add-ons installieren, um öffentliche Schlüssel zu erstellen und verschlüsselte E-Mails zu empfangen. Wirken Anti-Viren-Programme bei verschlüsselten E-Mails? Ja. Da Ihr E-Mail-Programm die E-Mails automatisch entschlüsselt, überprüft ein Anti-Viren-Programm (sofern dieses existiert) anschließend die Nachricht auf ihre Sicherheit. Was sollten Sie jetzt tun? Zunächst sollten Sie sich mit Ihrem E-Mail-Anbieter auseinandersetzen und herausfinden, wie Sie damit Ihre Nachrichten verschlüsseln können - das kann natürlich auch der Datenschutzbeauftragte übernehmen. Legen Sie sich dann mithilfe Ihres E-Mail-Programms einen öffentlichen und einen privaten Schlüssel zu. Den öffentlichen Schlüssel teilen Sie mit Ihren Kontakten. Sie können auch die Datei mit dem öffentlichen Schlüssel in Ihrer Mail-Signatur verlinken. Vergessen Sie nicht, Ihren Mitarbeitern genau zu erklären, welche E-Mails sie verschlüsselt verschicken müssen und wie das funktioniert.